Die Verpflichtung von GE HealthCare zum Schutz personenbezogener Daten

Einleitung

GE HealthCare respektiert die Datenschutzrechte von betroffenen Personen und verpflichtet sich, personenbezogene Daten verantwortungsbewusst in Einklang mit den geltenden Gesetzen, geltenden Vertragspflichten und der Verpflichtung von GE HealthCare zum Schutz personenbezogener Daten (die „Verpflichtung“), wie nachstehend beschrieben, zu behandeln. In der Verpflichtung werden die Grundsätze von GE HealthCare für die Verarbeitung personenbezogener Daten durch und im Namen von GE HealthCare festgelegt.

Die Verpflichtung bildet die Rechtsgrundlage für die grenzüberschreitende Übermittlung personenbezogener Daten innerhalb der GE HealthCare-Gruppe (alle Unternehmensbereiche, die sich ganz oder mehrheitlich im Besitz der GE HealthCare Company befinden). Darüber hinaus kann GE HealthCare in Übereinstimmung mit dem geltenden Recht eine grenzüberschreitende Übermittlung personenbezogener Daten an Dritte außerhalb der GE HealthCare-Gruppe durchführen. GE HealthCare wird personenbezogene Daten, sofern zutreffend, gemäß der Verpflichtung behandeln, es sei denn, dies steht im Widerspruch zu den strengeren Anforderungen der vor Ort geltenden Gesetzgebung, in welchem Fall die vor Ort geltende Gesetzgebung maßgeblich ist.

Geltungsbereich

Mit der Verpflichtung soll der Schutz von personenbezogenen Daten unabhängig von Standort oder Technologie sichergestellt werden, wenn diese innerhalb der GE HealthCare-Gruppe verwendet werden. Sie gilt für die Verarbeitung personenbezogener Daten von GE HealthCare und für die Verarbeitung personenbezogener Daten von Kunden von GE HealthCare.

Verarbeitung personenbezogener Daten

GE HealthCare verarbeitet personenbezogene Daten von Kunden von GE HealthCare nur im Namen des Kunden und gemäß dessen Anweisungen.

GE HealthCare hält sich bei der Verarbeitung personenbezogener Daten an die folgenden Grundsätze und bietet dem Kunden angemessene Zusammenarbeit und Unterstützung an, was die Einhaltung eben jener Grundsätze durch den Kunden selbst betrifft. Soweit nach geltendem Recht erforderlich, umfasst dies die Unterstützung des Kunden bei Datenschutz-Folgenabschätzungen, bei der notwendigen Beratung mit den zuständigen Datenschutzbehörden und bei der Umsetzung von Compliance-Maßnahmen wie dem Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen:

Verarbeitung nach Treu und Glauben: GE HealthCare verarbeitet personenbezogene Daten nach Treu und Glauben und auf rechtmäßige Weise.

Zweck: GE HealthCare beschränkt die Verarbeitung personenbezogener Daten auf die Erfüllung der spezifischen, legitimen Zwecke von GE HealthCare. GE HealthCare führt nur eine Verarbeitung durch, die mit diesen Zwecken vereinbar ist, sofern GE HealthCare die unmissverständliche Einwilligung der betroffenen Person erhalten hat oder die Bestätigung des jeweiligen Kunden, dass diese Einwilligung eingeholt wurde, sofern erforderlich.

Im Allgemeinen verarbeitet GE HealthCare personenbezogene Daten:

  • • soweit GE HealthCare ein berechtigtes Interesse hat, das die Verarbeitung im Großen und Ganzen rechtfertigt;
  • • soweit dies für die Aufrechterhaltung oder Ausübung eines Rechtsverhältnisses zwischen GE HealthCare und der betroffenen Person erforderlich ist;
  • • soweit dies zur Erfüllung einer Verpflichtung erforderlich ist, die GE HealthCare durch geltende Gesetze, Vorschriften oder Regierungsbehörden auferlegt wird;
  • • im Falle von Ausnahmesituationen, in denen das Leben, die Gesundheit oder die Sicherheit der betroffenen Person oder einer anderen Person gefährdet ist;
  • • nach Erhalt der durch die betroffene Person freiwillig erteilten, ausdrücklichen und nach Aufklärung erteilten Einwilligung, wenn dies nach geltendem Recht erforderlich ist; oder
  • • wenn die Verarbeitung im Zusammenhang mit einer Kundenservice-Vereinbarung steht.

Sofern die Einwilligung direkt von GE HealthCare eingeholt wurde, stellt GE HealthCare ein Verfahren bereit, mit dem betroffene Personen ihre Einwilligung in dem nach geltendem Recht erforderlichen Umfang jederzeit und kostenfrei widerrufen können.

Verhältnismäßigkeit: GE HealthCare beschränkt die Verarbeitung personenbezogener Daten auf ein Maß, das im Verhältnis zu den Zwecken, zu denen GE HealthCare die Daten erfasst, angemessen, erheblich und nicht übertrieben ist.

Informationsqualität: GE HealthCare unternimmt angemessene Schritte, um dem Kunden die Mittel zur Verfügung zu stellen, damit personenbezogene Daten stets korrekt und aktuell sind, personenbezogene Daten nur so lange aufbewahrt werden, wie dies für die Zwecke, für die sie erfasst und verwendet werden, erforderlich ist, und damit sie gelöscht oder anonymisiert werden, nachdem die genannten Aufbewahrungsanforderungen erfüllt worden sind.

Nach einer begründeten Anfrage durch den Kunden und sofern dies in einem angemessenen Rahmen umsetzbar ist, wird GE HealthCare:

  • • dem Kunden die Mittel zur Berichtigung, Aktualisierung, Anonymisierung oder Löschung (falls zutreffend) personenbezogener Daten des Kunden von GE HealthCare zur Verfügung stellen oder diese Aufgaben selbst erledigen und
  • • alle GE-Organisationen oder Dritte, an die die personenbezogenen Daten des Kunden von GE HealthCare weitergegeben worden sind, darüber informieren.

Transparenz: Soweit dies nach geltendem Recht erforderlich ist, stellt GE HealthCare den betroffenen Personen zum Zeitpunkt der Erfassung oder innerhalb eines angemessenen Zeitraums nach der Erfassung Informationen über die Identität von GE HealthCare, die Zwecke und die rechtliche Grundlage für die Verarbeitung ihrer personenbezogenen Daten, die vorgesehenen Empfänger und grenzüberschreitenden Datenübermittlungen und die Quelle(n) der personenbezogenen Daten zur Verfügung. Ferner informiert GE HealthCare darüber, wie betroffene Personen ihre Rechte in Bezug auf ihre personenbezogenen Daten ausüben können, nennt ggf. Kontaktdaten des Datenschutzbeauftragten und bietet ggf. zusätzliche Erklärungen, um eine faire Verarbeitung zu gewährleisten. Sofern GE HealthCare personenbezogene Daten über das Internet oder andere elektronische Mittel erfasst, veröffentlicht GE HealthCare einen leicht zugänglichen Datenschutzhinweis, der diese Anforderungen an die Transparenz erfüllt.

Datenschutz: GE HealthCare wird die Vertraulichkeit der personenbezogenen Daten, die es verarbeitet, wahren, es sei denn, die Offenlegung ist durch eine entsprechende operative oder gesetzliche Anforderung erforderlich. Die vorliegende Verpflichtung besteht auch nach Beendigung der Kundenbeziehung fort. GE HealthCare verlangt, dass alle Mitglieder der GE HealthCare-Gruppe, die personenbezogene Daten von Kunden von GE HealthCare verarbeiten, und deren Mitarbeiter die Anweisungen des Kunden zur Verarbeitung der personenbezogenen Daten von Kunden von GE HealthCare befolgen.

Sicherheit: GE HealthCare ist bestrebt, die Vollständigkeit, Vertraulichkeit, Sicherheit und Verfügbarkeit der personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen zu schützen und verlangt, dass alle Mitglieder der GE HealthCare-Gruppe, die personenbezogene Daten von Kunden von GE HealthCare verarbeiten und deren Mitarbeiter die Sicherheits- und Vertraulichkeitsmaßnahmen einhalten, die in der Servicevereinbarung mit dem Kunden festgelegt sind. GE HealthCare bietet dem GE HealthCare-Kunden angemessene Unterstützung an, was die Gewährleistung der Sicherheit der Verarbeitung auf Kundenseite betrifft, und es informiert den GE HealthCare-Kunden über eine Sicherheitsverletzung der personenbezogenen Daten des Kunden von GE HealthCare, wie es nach den anwendbaren Gesetzen erforderlich ist.

Beendigung: Sofern nichts anderes mit dem Kunden vereinbart wird oder sofern das geltende Recht nichts anderes vorsieht, wird GE HealthCare bei Beendigung der Servicevereinbarung mit dem Kunden sämtliche personenbezogenen Daten des Kunden von GE HealthCare sowie sämtliche Kopien davon zurückgeben oder vernichten (und im Falle einer Vernichtung dies dem Kunden bestätigen).

Weitergabe und/oder Übermittlung personenbezogener Daten

GE HealthCare kann personenbezogene Daten unter den folgenden Umständen weitergeben oder übermitteln:

  • • Personenbezogene Daten können innerhalb der GE HealthCare-Gruppe für die oben genannten Zwecke weitergegeben werden, unter der Voraussetzung, dass sich die jeweilige Organisation der GE HealthCare-Gruppe, die personenbezogene Daten verarbeitet, an die vorliegende Verpflichtung hält.
  • • GE HealthCare kann ausgewählten Lieferanten oder Dienstleistern, die mit der Durchführung bestimmter Verarbeitungs- oder anderer Dienstleistungen im Namen von GE HealthCare beauftragt wurden, personenbezogene Daten bereitstellen. GE HealthCare wird sich bemühen, sicherzustellen, dass neue Lieferantenaufträge die Verarbeitung personenbezogener Daten in einer Weise vorsehen, die mit dieser Verpflichtung und den geltenden Gesetzen in Einklang stehen. Hierzu wird ein Rechtsverhältnis begründet, z. B. durch einen Vertrag oder andere gesetzlich zulässige Mittel, das dem Lieferanten gleichwertige Verpflichtungen auferlegt wie diejenigen, die für GE HealthCare im Rahmen der Servicevereinbarung mit dem Kunden gelten. Im Rahmen dieser Verträge verpflichten sich Lieferanten, angemessene Sicherheitsmaßnahmen zu ergreifen, und sie dürfen personenbezogene Daten nur gemäß den Anweisungen von GE HealthCare verarbeiten.
  • • GE HealthCare kann bestimmte personenbezogene Daten an andere Dritte weitergeben, einschließlich Strafverfolgungsbehörden, wenn dies gesetzlich vorgeschrieben ist, um die Rechte von GE HealthCare zu schützen, oder im Zusammenhang mit einer Fusion oder Übernahme von GE HealthCare oder der Insolvenz oder Umstrukturierung von Teilen von GE HealthCare. GE HealthCare kann grenzüberschreitende Übermittlungen von personenbezogenen Daten innerhalb der GE HealthCare-Gruppe durchführen, sofern das Mitglied der Gruppe als Empfänger die geltenden Teile dieser Verpflichtung einhält. GE HealthCare kann zudem grenzüberschreitende Übermittlungen außerhalb der GE HealthCare-Gruppe durchführen, wenn der Empfänger das Mindestschutzniveau, das in der vorliegenden Verpflichtung vorgesehen ist, gewährt, sich auf eine entsprechende Begründung nach geltendem Recht beruft, oder das Land, in das diese Daten übermittelt werden, das Schutzniveau gewährt, das durch Angemessenheitsentscheidungen der EU-Kommission geboten wird. Im Rahmen der Verpflichtung von GE HealthCare zur Rechenschaftspflicht wird GE HealthCare nachweisen können, dass bei einer grenzüberschreitenden Übermittlung die in dieser Verpflichtung vorgesehenen Schutzmaßnahmen eingehalten werden, insbesondere wenn dies von einer zuständigen Aufsichtsbehörde verlangt wird.
  • • Bei grenzüberschreitenden Übermittlungen haben die Unternehmen und Organisationen von GE HealthCare keinen Grund zu der Annahme, dass die Gesetze und Praktiken im Bestimmungsdrittland, die für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gelten, den Datenimporteur daran hindern, seinen Pflichten gemäß der vorliegenden Verpflichtung nachzukommen. Ferner berücksichtigen sie in gebührender Weise die besonderen Umstände der grenzüberschreitenden Übermittlung, die Gesetze und Praktiken des Bestimmungsdrittlands und alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die in Ergänzung zu den Garantien im Rahmen der vorliegenden Verpflichtung getroffen wurden.

Verarbeitung sensibler personenbezogener Daten

Sofern GE HealthCare sensible personenbezogene Daten verarbeitet und/oder übermittelt, tut es dies gemäß den Anweisungen des Kunden. Es finden außerdem die Garantien Anwendung, die nach geltendem Recht erforderlich sind. In Abhängigkeit von der Art der Daten und den mit der beabsichtigten Nutzung verbundenen Risiken werden angemessene Sicherheitsmaßnahmen ergriffen.

Rechenschaftspflicht

GE HealthCare ist für die Erfüllung der in der Verpflichtung und nach geltendem Recht festgelegten Vorschriften verantwortlich. GE HealthCare wird insbesondere:

  • • die erforderlichen Maßnahmen ergreifen, um die Vorschriften der Verpflichtung und des geltenden Rechts zu erfüllen und
  • • die jeweiligen notwendigen internen Mechanismen etablieren, um diese Einhaltung nachzuweisen, einschließlich der Führung eines Verzeichnisses über seine Verarbeitungsaktivitäten in Übereinstimmung mit dem geltenden Recht.

Datenschutzprogramm

GE HealthCare wendet Datenschutzpraktiken an, die darauf ausgelegt sind, die Einhaltung der Verpflichtung und der geltenden Gesetze zu unterstützen. In diesen Bereich fallen: Ernennung von Netzwerk- von Datenschutzverantwortlichen, Schulungs- und Sensibilisierungsprogramme, Vorfallsreaktionsprotokolle, Datenschutz-Folgenabschätzungen, Auditroutinen sowie ein Datenschutzansatz durch Technik und durch datenschutzfreundliche Voreinstellungen für die Prozess- und Systementwicklung.

Rechte von betroffenen Personen

In Übereinstimmung mit dem geltenden Recht kann eine betroffene Person, die ihre Identität gegenüber GE HealthCare oder gegenüber dem Kunden zufriedenstellend nachgewiesen hat, die folgenden Rechte in Bezug auf ihre personenbezogene Daten ausüben, die GE direkt von ihr erfasst hat; GE HealthCare unterstützt den Kunden bei der Erfüllung seiner Datenschutzverpflichtungen gegenüber betroffenen Personen:

Auskunftsrecht: Soweit nach geltendem Recht erforderlich, stellt GE HealthCare auf Antrag einer betroffenen Person und auf Anweisung des Kunden personenbezogene Daten über sie zur Verfügung, die sich im Besitz von GE HealthCare befinden, einschließlich Informationen über die Quelle der personenbezogenen Daten, die Zwecke der Verarbeitung durch GE HealthCare und die Empfänger, oder über die Kategorien von Empfängern, an die diese personenbezogenen Daten weitergegeben werden.

Recht auf Berichtigung und Löschung: Auf Anweisung des Kunden werden gültige Anträge auf Berichtung oder Löschung personenbezogener Daten, die unvollständig oder unrichtig sind oder übermäßig erfasst worden sind, respektiert und als solche bestätigt. Es gilt die Ausnahme, dass die Löschung nicht durchgeführt wird, wenn die Aufbewahrung aufgrund der vertraglichen Beziehung zwischen GE HealthCare und dem Kunden, im Zusammenhang mit einem Rechtsstreit oder einer anderen gesetzlichen Aufbewahrungspflicht oder anderweitig nach geltendem Recht erforderlich ist.

Widerspruchsrecht: Auf Anweisung des Kunden stellt GE HealthCare die Verarbeitung personenbezogener Daten ein, wenn der Widerspruch einer betroffenen Person nach geltendem Recht gerechtfertigt ist, z. B. wenn das Leben oder die Gesundheit der betroffenen Person aufgrund der Verarbeitung gefährdet ist. Eine betroffene Person hat zudem das Recht, ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten basierenden Entscheidungen zu widersprechen, die ihr gegenüber rechtliche Wirkungen entfalten, die die betroffene Person erheblich beeinträchtigen, es sei denn, die Person hat die Verarbeitung angefordert oder sie ist Voraussetzung für die Vertragsbeziehung zwischen GE und dem Kunden. Im letzteren Fall kann die betroffene Person ihren Standpunkt zu der automatisierten Entscheidung darlegen. Eine betroffene Person hat das Recht, der Verarbeitung personenbezogener Daten durch GE HealthCare zu Werbezwecken zu widersprechen, sofern dies nach geltendem Recht zulässig ist. Die Ausübung dieses Widerspruchsrechts kann aufgehoben werden, wenn GE HealthCare und/oder der Kunde nachweisen kann bzw. können, dass ihr zwingendes berechtigtes Interesse an der Fortsetzung der Verarbeitung die Interessen oder grundlegenden Rechte und Freiheiten der betroffenen Person außer Kraft setzt.

Recht auf Einschränkung der Verarbeitung: Eine betroffene Person hat ferner das Recht, die Einschränkung der Verarbeitung ihrer personenbezogenen Daten von GE HealthCare durch GE HealthCare zu verlangen, soweit dieses Recht nach geltender Rechtsprechung vorgesehen ist, z. B. wenn die Richtigkeit der von GE gespeicherten personenbezogenen Daten bestritten wird. Auf Anweisung des Kunden stellt GE HealthCare die Verarbeitung dieser Daten ein, wenn die Einschränkung gerechtfertigt ist, mit Ausnahme der Speicherung und sonstigen zulässigen weiteren Verarbeitung nach geltendem Recht.

Beschwerden: Jede betroffene Person, die angibt, aufgrund der Nichteinhaltung der Verpflichtung durch eine Organisation der GE HealthCare-Gruppe einen Schaden erlitten zu haben, kann beim zuständigen Datenschutzbeauftragten oder Compliance Officer der GE HealthCare-Gruppe Beschwerde einreichen. Ebenso stehen ihr die Beschwerdemanagementprozesse von GE HealthCare über dessen Website zur Verfügung, sollten andere Kanäle nicht verfügbar oder bereits erschöpft sein:

GE HealthCare ist nur dann zur Bearbeitung der Beschwerde verpflichtet, wenn der Kunde zahlungsunfähig geworden ist, faktisch oder rechtlich nicht mehr besteht, und nur dann, wenn die rechtlichen Pflichten des Kunden nicht von einem Rechtsnachfolger übernommen worden sind.

Wenn der Kunde die Beschwerde für gerechtfertigt hält, unterstützt GE HealthCare den Kunden und ergreift angemessene Maßnahmen, um die Beschwerde zur angemessenen Zufriedenheit der betroffenen Person zu regeln. GE HealthCare ist bestrebt, den Kunden dahingehend zu unterstützen, Beschwerden innerhalb von dreißig Tagen nach Eingang zu beantworten. Eine betroffene Person mit einer offenen Beschwerde bezüglich der Einhaltung der Verpflichtung durch GE HealthCare in Ländern, die den Cross Border Privacy Rules der APEC unterliegen, kann sich (kostenlos) an den in den USA ansässigen Drittanbieter von GE HealthCare zur Streitbeilegung wenden.

Durchsetzung: Eine betroffene Person, die infolge eines Verstoßes gegen die Verpflichtung einen Schaden erlitten hat, hat möglicherweise Anspruch auf eine Entschädigung für diesen Schaden in Übereinstimmung mit geltendem Recht und gemäß den Bestimmungen der Verpflichtung. Eine betroffene Person, die Anspruch auf eine Entschädigung hat, kann sich zur Durchsetzung ihrer Rechte gemäß der Verpflichtung direkt an die Gerichte oder an andere Justizbehörden in Übereinstimmung mit geltendem Recht wenden.

Zusammenarbeit mit Aufsichtsbehörden

GE HealthCare verpflichtet sich zur Zusammenarbeit mit allen zuständigen nationalen oder regionalen Aufsichtsbehörden, die für die Überwachung der geltenden Datenschutzgesetze verantwortlich sind und die Anlass dazu haben, die Verarbeitung personenbezogener Daten durch GE HealthCare in Frage zu stellen. Zudem verpflichtet sich GE HealthCare, die Beschlüsse der zuständigen Aufsichtsbehörde in Bezug auf alle mit der Verpflichtung verbundenen Fragen einzuhalten.

GE HealthCare wird den Kunden über alle rechtlich bindenden Anfragen von einer Strafverfolgungsbehörde zur Offenlegung der personenbezogenen Daten des Kunden von GE HealthCare in Kenntnis setzen, es sei denn, dies ist durch geltendes Recht, wie z. B. ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer Untersuchung durch Strafverfolgungsbehörden, untersagt.

Änderungen an der Verpflichtung

GE HealthCare behält sich das Recht vor, Änderungen an der Verpflichtung vorzunehmen. Wesentliche Änderungen werden gegebenenfalls bei der zuständigen Datenschutzbehörde von GE HealthCare und/oder bei seinem Beauftragten für Gütezeichen eingereicht und auf der Website von GE HealthCare angezeigt.

Sofern sich eine vorgeschlagene Änderung der Verpflichtung wesentlich nachteilig auf die Verarbeitungsbedingungen für personenbezogene Daten von Kunden von GE HealthCare auswirkt, informiert GE HealthCare den Kunden über eine solche vorgeschlagene Änderung. Der Kunde kann dann entweder der vorgeschlagenen Änderung zum Zwecke einer bestehenden Servicevereinbarung widersprechen oder die entsprechende Servicevereinbarung kündigen.

Begriffsbestimmungen

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Personenbezogene Daten von GE HealthCare sind alle personenbezogenen Daten, die im Zusammenhang mit der Beziehung einer betroffenen Person zu GE HealthCare erfasst werden und die GE HealthCare im Auftrag des Kunden verarbeitet. Solche personenbezogenen Daten von GE HealthCare können beispielsweise Kundendaten umfassen, die im Zusammenhang mit einer Kundenbeziehung zu GE HealthCare erfasst werden.

Personenbezogene Daten von Kunden von GE HealthCare sind personenbezogene Daten, die im Zusammenhang mit der Erbringung von Dienstleistungen durch GE HealthCare für einen Kunden im Rahmen einer Servicevereinbarung erfasst werden und die GE HealthCare im Auftrag des Kunden verarbeitet.

Ein Kunde ist eine natürliche oder juristische Person, die eine Servicevereinbarung mit GE HealthCare abschließt.

Sensible personenbezogene Daten, eine Sonderkategorie personenbezogener Daten, sind Informationen über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheit, Sexualleben oder sexuelle Orientierung.

Noch Fragen? Wir würden uns freuen, von Ihnen zu hören.